Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Windows 10 PC grondig controleren met USB-opstartdisk

31-10-2018, 10:16 door Anoniem, 9 reacties
Vanmorgen, en een paar dagen geleden leek het, alsof mijn computer overgenomen was. Ik vermoed, dat dat via een inlog op afstand gebeurde.
OS: Windows 10 Pro, Versie 1803, build 17134.345
Verder actief (stond vanmorgen niet aan, tijdens de gesignaleerde activiteit, er werden bestanden geopend, en de muis was duidelijk overgenomen) Teamviewer, en ook kon hulp op afstand aangezet worden. Beiden na een herstart uitgeschakeld. Inlognaam en wachtwoord veranderd. NordVPN weer aangezet.

Nu lijkt het stabiel, maar ik wil onderzoeken, of er nog iets onder de radar blijft. Ik ben weer begonnen met de Windows Defender, die vond zes dagen geleden geen bedreigingen. Deze scanner zegt up to date te zijn.

Ik heb ook een Bitdefender opstart USB gemaakt, en uitgevoerd, die heeft niets gevonden.
Daarom zoek ik nu een mogelijkheid voor het maken van een USB-stick met meerdere scanmogelijkheden.

Benieuwd, welke tips hiervandaan komen, waarvoor alvast hartelijk dank!
Reacties (9)
31-10-2018, 15:13 door Anoniem
Bij enige twijfel kun je misschien het beste een schone, nieuwe, "bare metal" installatie van Windows doen.
Anders blijf je twijfelen, slaapt op een gegeven moment niet meer lekker en zo.......
Je data bestanden heb je natuurlijk op een backup staan dus die kan je na die installatie gewoon weer terugzetten.
31-10-2018, 15:48 door Anoniem
Ik denk dat knoppix je met allerlei dingen kan helpen. Je kan knoppix gebruiken als is een rescue usb stick. Het is gebasseerd op linux, maar wordt ook zeker vaak gebruik om windows problemen te verhelpen.

http://www.knopper.net

Dat ding heeft ook een antivirus scanner die heel hartnekkig te werk gaat, dus goed uitkijken zodat je niet teveel verwijderd. Gelukkig verwijderd clamav niet automatisch de gevonden bestanden.

Zoek maar verder op het internet over "knoppix Rescue and recover"
31-10-2018, 15:55 door Anoniem
Toevoeging:
Er is ook een offline defender scan mogelijk, die is ook uitgevoerd, zonder dat iets gevonden is, volgens:
https://support.microsoft.com/nl-nl/help/17466/windows-defender-offline-help-protect-my-pc
Systeem lijkt momenteel stabiel.
Benieuwd welke extra checks geadviseerd worden.
31-10-2018, 16:24 door Tha Cleaner
Door Anoniem: Vanmorgen, en een paar dagen geleden leek het, alsof mijn computer overgenomen was. Ik vermoed, dat dat via een inlog op afstand gebeurde.
OS: Windows 10 Pro, Versie 1803, build 17134.345
Verder actief (stond vanmorgen niet aan, tijdens de gesignaleerde activiteit, er werden bestanden geopend, en de muis was duidelijk overgenomen) Teamviewer, en ook kon hulp op afstand aangezet worden. Beiden na een herstart uitgeschakeld. Inlognaam en wachtwoord veranderd.
!

Als Teamviewer gebruikt was, zit daar je probleem. Je zal niet de eerste zijn. Slecht wachtwoord op je remote connectie wachtwoord, of eventueel een slecht beveiligdTeamviewer account.
TV heeft wel logfiles, zodat je eventueel kan zien, door wie die overgenomen was, eventueel misschien ook zelf hoe.

Maar ik zou een computer niet direct meer vertrouwen. Er zijn mogelijkheden genoeg voor achterdeurtjes.
31-10-2018, 16:42 door jennifer
Vraagje: Hoe zou de dader jouw wachtwoord moeten raden? Of heb je gebruik gemaakt van de vier nummerige wachtwoord dat automatisch gegeneerd wordt?

Je zou met de Firewall Teamviewer kunnen verbieden.
Het kan ook gewoon zijn dat je computer Remote is overgenomen zonder Teamviewer te gebruiken maar de ingebouwde RDP van Micrososft zelf.
Waarom vermoedt je dat het via Teamviewer gebeurde?

Kijk in je registry naar Teamviewer en het gebruik ervan en kijk naar eventuele verdachte IP adressen bij niet normale tijdstippen.
Kijk naar het netwerk verkeer.
Kijk of er geen processen draaien die je niet vertrouwd.

Maar dit zijn allemaal op Scriptkiddie niveau dat je kan kijken of er iets gebeurt.
Bij een geavanceerde hack:
Als je echt wilt weten of er iets speelt moet je het geheugen printen en bestuderen (wat een tijdrovende zaak is).
Harden je OS.

Als je zeker bent dat je PC is overgenomen:
Buiten je laptop, zou ik ook je randapperatuur zoals routers en andere systemen in jouw netwerk bestuderen en hardware flashen en je OS opnieuw installeren door te formatteren.
Je BIOS batterij(ik weet niet of dat tegenwoordig ook nog nodig is) eruit halen voor een dag of iets langer en je moederbord type opzoeken en de moederbord updaten.
31-10-2018, 16:47 door Anoniem
Heb je Audit logging aanstaan?

Dan zou je het namelijk zo kunnen zien. Anders blijft het een vermoeden.

Ik vermoed ook wel eens dat er in mijn auto gereden is door een ander, maarja ik laat mijn autosleutels overal liggen en ik hou niet bij wie ze meeneemt.
01-11-2018, 01:13 door Anoniem
Door jennifer:
Het kan ook gewoon zijn dat je computer Remote is overgenomen zonder Teamviewer te gebruiken maar de ingebouwde RDP van Micrososft zelf.
Hoe dan? Voor RDP moet je een poort openzetten.
01-11-2018, 08:31 door jennifer
Door Anoniem:
Hoe dan? Voor RDP moet je een poort openzetten.

Misschien heeft hij of zij dat ook gedaan, malware op je systeem kan dat ook doen, of hebben een onwaarschijnlijkere scenario een hacker met een zero-day exploit zijn enkele voorbeelden.
01-11-2018, 10:02 door Anoniem
Een besmet systeem is nooit meer volledig te vertrouwen, ook niet door achteraf allemaal zaken op te ruimen of te controleren.
Mogelijk is door eenmalig toegang door "ingang A" een nieuwe "ingang B" gemaakt.
Hierdoor kan je door je onderzoeken wel "Ingang A" dichtzetten en hopen dat hiermee is opgelost, maar je weet niet wat er tijdens toegang allemaal gebeurd is.

Ik zou zeggen zoals een eerder advies : Clean install van het besturingssysteem
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.